利用微软Exchange漏洞 国（guó）家（jiā）互联网应急中（zhōng）心：发现处置两起美对（duì）我（wǒ）国（guó）攻击事（shì）件

本站一月一七日消息，今日，据国（guó）家（jiā）互联网应急中（zhōng）心消息，国（guó）家（jiā）互联网应急中（zhōng）心发现处置两起美对（duì）我（wǒ）大（dà）型科技企业机构进行（xíng）网络攻击窃取商业秘密事（shì）件。

二0二三年（nián）五月起，我（wǒ）国（guó）某智慧能（néng）源和（hé）数字信息大（dà）型高科技企业遭疑似美国（guó）情报机构网络攻击。

经分析，攻击者使用多个（gè）境外跳板，利用微软Exchange漏洞，入侵控制该公司邮件服务器并植入后（hòu）门程序，持续窃取邮件数据。

为（wéi / wèi）避免被发现，攻击者在（zài）邮件服务器中（zhōng）植入了二个（gè）攻击武器，仅在（zài）内存中（zhōng）运行（xíng），不（bù）在（zài）硬盘存储。

其利用了虚拟化技术，虚拟的（de）访问路径为（wéi / wèi）/owa/auth/xxx/xx.aspx和（hé）/owa/auth/xxx/yy.aspx，攻击武器主要（yào）功能（néng）包括敏感信息窃取、命令执行（xíng）以（yǐ）及内网穿透等。

内网穿透程序通过（guò）混淆来（lái）逃避安全软件检测，将攻击者流量转发给其他（tā）目标设备，达到（）攻击内网其他（tā）设备的（de）目的（de）。

同时（shí），攻击者又以（yǐ）该邮件服务器为（wéi / wèi）跳板，攻击控制该公司及其下（xià）属企业三0余台设备，窃取该公司大（dà）量商业秘密信息。

攻击者每次攻击后（hòu），都会（huì）清除计算机日志中（zhōng）攻击痕迹，并删除攻击窃密过（guò）程中（zhōng）产生（nián）的（de）临时（shí）打包文件。

攻击者还会（huì）查看系统审计日志、历史命令记录、SSH相关配置等，意图分析机器被取证情况，对（duì）抗网络安全检测。

部分跳板IP列表